Sodinokibi 勒索软件新变种利用Oracle WebLogic漏洞传播

2019年4月30日，美国思科公司Talos安全团队发布报告称，Sodinokibi勒索软件的新变种利用CVE-2019-2725漏洞传播，感染Oracle WebLogic服务器。一旦感染，会导致攻击者加密用户数据，受害者需支付赎金才能解锁数据。对我国使用受漏洞影响版本的Oracle WebLogic用户具有潜在威胁。该恶意软件具有以下技术特点：一是攻击者利用WebLogic服务器中的远程代码执行漏洞，部署Sodinokibi勒索软件不需要用户交互；二是攻击者向受害者索要价值2500美元的比特币作为赎金，如果在指定的日期（两天到六天）内没有支付赎金，赎金数额将达到5000美元；三是在一个受感染的系统上部署Sodinokibi大约8小时后，攻击者利用相同的WebLogic服务器漏洞，安装了另一个名为GandCrab的勒索软件(v5.2)。思科Talos安全团队分析判断，攻击者的主要目的是运行加密货币挖掘器和感染勒索软件获取经济利益，恶意程序作者和攻击者身份不详。